跳转到主内容

NSE :如何续订连接到 TKLM 或 SKLM 密钥服务器的过期 NSE 证书?

Views:
1
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
core
Last Updated:

可不使用  

适用场景

  • NetApp 存储加密
  • 集群模式Data ONTAP 8.x
  • ONTAP 9

问题解答

 

在使用TKLM或SKLM密钥服务器的NSE系统上、需要续订的过期证书将需要原始 client_private.key 文件。TKLM/SKLM可通过证书定义访问权限。如果 client_private.key 创建了新的、则存储在TKLM/SKLM上的原始密钥将无法访问。

要续订已过期的NSE客户端证书,请使用原始证书 client_private.key 生成新的 client.csrclient.csr 在CA上签名。将 client.pem 和连接在一起 client_private.key 以生成 client_private.pem 文件。运行以下命令、在NSE系统上安装更新的证书之前对其进行测试:

openssl s_client -tls1 -connect <IP-Address-of-Key-Server>:5696 -verify 10 -showcerts -cert client.pem -key client_private.pem -CAfile <IP-Address-of-Key-Server>_CA.pem

例如:

openssl s_client -tls1 -connect 192.168.1.73:5696 -verify 10 -showcerts -cert client.pem -key client_private.pem -CAfile 192.168.1.73_CA.pem
 

Data ONTAP 8.3及更低版本
  1. 如果在证书更换过程中断电、请在更换证书之前手动将驱动器临时重新设置为默认密钥ID 0x0。这是为了防止在证书续订过程中发生驱动器锁定。
    请执行以下步骤:
    1. run:key_manager restore -all(从连接的密钥服务器加载所有密钥ID)
    2. run: disk encrypt show(记下加密密钥ID、因为它将在证书续订后使用)
    3. run: disk encrypt rekey 0x0 *(将驱动器重置为默认值、并在替换证书时临时允许对驱动器进行完全访问)
    4. run: disk encrypt show(验证是否已将所有磁盘的密钥重新设置为0x0)
  2. 显示证书
    1.  运行:  keymgr list cert
  3. 在NSE系统上更换之前、请备份所有原始证书。
  4. 从NSE系统中删除证书
    1。  run: key_manager show  (获取当前已配置密钥服务器的列表)
    2.  运行: key_manager remove -key_server <IP-Address-of-Key-Server>
    注:对所有已配置的密钥服务器重复操作步骤。
    运行: keymgr delete cert client_private.pem.
    运行:运行: keymgr delete cert client.pem.
    keymgr delete cert <IP-Address-of-Key-Server>_CA.pem.
  5. 将新生成的证书放置在存储上。  在此示例中、
  6. 在NSE系统上安装续订的证书后、必须删除并重新添加所有密钥服务器。需要执行此步骤才能将新证书复制到CF卡上。
    为此、请执行以下步骤:
    1. run: key_manager show  (获取当前已配置密钥服务器的列表)
    2. 运行: key_manager remove -key_server <IP_CA.pem>
      注:对所有已配置的密钥服务器重复操作步骤。
    3. 运行: key_manager add –key_server <IP_CA.pem>
      注:对所有先前配置的密钥服务器重复操作步骤。
    4. 运行: key_manager query (验证密钥ID是否已正确列出、原始密钥ID是否应列出)
    5. run: disk encrypt rekey <Key-ID> * (这是 上面S tep 1b中的密钥ID、密钥ID也应位于 key_manager query 输出中)
    6. run: disk encrypt show (验证所有磁盘是否均已重新设置为新密钥ID、并且所有驱动器均未设置密钥ID 0x0)
    7. 对HA控制器重复上述过程。
Data ONTAP 8.3.1及更高版本

::> storage encryption disk modify -disk * -data-key-id 0x0
::> security key-manager remove -address key_management_server_ipaddress
::> security certificate delete -vserver admin_svm_name -type client -subtype kmip-cert  
::> security certificate install -vserver admin_svm_name -type client -subtype kmip-cert  


<--这将提示中的以下项目。 必须粘贴到中的PEM。

出现提示时剪切并粘贴公共证书

出现提示时剪切并粘贴私钥

::> security key-manager setup -node <name>

对集群中的每个节点重复此操作。

:::> security key-manager add -address <key_management_server_ipaddress>

   仅当能够添加和查询key-manager时,才继续创建密钥。

验证密钥管理服务器是否已配置且在集群中的所有节点上均可用:
:::> security key-manager show -status
:::> security key-manager Query


:::> security key-manager cree-key -proper-for key true

出现提示时,输入密钥密码短语。该密钥的长度必须介于 20 到 32 个字符之间。

您可以使用" -proper-for -key true"设置、这将要求您粘贴密码短语或忽略密码短语、Data ONTAP将随机生成密码短语。最佳做法始终是提供客户指定的密码短语以供恢复之用。

这将返回一个40-60字符的密钥ID、该ID将在下一步中使用。
记下身份验证密钥、因为这是关键信息

::> storage Encryption disk修改-disk disk_id -data-key-id authentication key_id * (与上一命令输出中显示的密钥ID相同)
::> storage Encryption disk show
 

Data ONTAP 9.0、Data ONTAP 9.1和Data ONTAP 9.2

:: Security certificate install -type client -subtype kmip-cert 

请输入证书:完成后按<Enter>键
<粘贴名为client.pem,包括开始和结束语句的NSE公共证书>

请输入私钥: 完成后按<Enter>
<Paste the NSE private certificATE named client_priv.pem, including the EINN and END语句>                                                                                                                                                              

剪切和粘贴内容示例:
 
--- 证书起始---
MIIB8TCCAZugAwIBAWIBADANBgkqhkiG9w0BAQQFADBfMRMWEQYDVQDEwpuZARH cHAUY29tNMswCQYDVQQGEWJVUZEJMACGA1UECBAMQkwYDVQQQQHEWAX  
结束证书---


完成此操作后、请运行以下命令以更新本地节点上的证书:

::> security key-manager certificate update -type client
将驱动器密钥重新设置为默认密钥ID 0x0将允许对加密驱动器上的数据进行完全访问、而无需进行密钥服务器身份验证。这样、驱动器就不会受到物理盗窃的影响。请务必及时完成证书续订过程、然后 在证书续订后重新设置密钥ID为0x0的所有驱动器的密钥。仔细检查是否所有驱动器的keyid均不为0x0。

追加信息

在此处添加文本。

 

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.